Guia de Análise de Vulnerabilidades e Medidas de Proteção a Instalações Industriais Químicas

Transcrição

1 Guia de Análise de Vulnerabilidades e Medidas de Proteção a Instalações Industriais Químicas III Seminário de Proteção Empresarial São Paulo, 27 de junho de 2007

2 Agenda Safety x Security Guias de Proteção Análise de Vulnerabilidades Metodologia Análise de Vulnerabilidades Medidas de Proteção

3 Qual a diferença a??? Safety Segurança Security

4 Safety x Security Safety Segurança: lida com eventos involuntários e não desejados Security Proteção ão: lida com atos deliberados de agressão

5 Guias de Proteção da Abiquim Guia de Proteção a Instalações Industriais Químicas publicado em julho/2005 Guia de Proteção ao Transporte de Produtos da Indústria Química publicado em dezembro/2005 Guia de Análise de Vulnerabilidades e Medidas de Proteção a Instalações Industriais Químicas em fase de publicação Guia de Proteção à Informação em planejamento

6

7 Alguns Conceitos Adversário: pessoa, grupo de pessoas ou organização que pratique ou tenha interesse e capacidade para praticar atos prejudiciais à empresa. Ativo: tudo que tenha valor para a empresa: pessoas, meio ambiente, instalações, equipamentos, produtos, materiais, informação, marca, imagem, reputação, etc.. Alvo: qualquer ativo que seja considerado atraente por um adversário; um ataque específico a esse ativo pode produzir os efeitos desejados pelo adversário. Ameaça: qualquer indicação, circunstância ou evento que tenha o potencial de causar a perda de um ativo ou danos a ele. Capacidade (operacional): capacidade que um determinado adversário tenha de obter, danificar ou destruir um ativo; ou de atingir objetivos predeterminados através da utilização, dano ou destruição do ativo.

8 Risco (em security ) Risco é uma expressão da probabilidade* de que um determinado adversário explore uma vulnerabilidade específica de um alvo ou conjunto de alvos, que apresentem um perigo ou uma atratividade identificados, causando uma determinada série de conseqüências. * qualitativa ou semi-quantitativa

9 Referências principais Guidelines for Analyzing and Managing the Security Vulnerabilities of Fixed Chemical Sites, livro publicado em 2003 pelo CCPS (Center for Chemical Process Safety), do AIChE (American Institute of Chemical Engineers). Implementation Guide for Responsible Care Security Code of Management Practices Site Security and Verification, publicado em julho de 2002 pelo ACC (American Chemistry Council).

10 Metodologia Passo 1 Planejamento Auditoria e Melhoria Contínua Passo 2 Caracterização das Instalações e Análise de Conseqüências Gestão de Risco e Gestão de Mudanças Passo 3 Avaliação de Ameaças Passo 7: Implementação das Recomendações Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 6: Relatório Final Passo 5: Identificação de Contramedidas

11 Passo 1: Planejamento Definição do escopo do projeto Eventos mais graves, eventos mais prováveis Estruturação de equipe de trabalho Líder, secretário, core team, outros membros Planejamento e método de trabalho

12 Passo 1 Planejamento Auditoria e Melhoria Contínua Passo 2 Caracterização das Instalações e Análise de Conseqüências Gestão de Risco e Gestão de Mudanças Passo 3 Avaliação de Ameaças Passo 7: Implementação das Recomendações Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 6: Relatório Final Passo 5: Identificação de Contramedidas

13 Passo 2: Caracterização das instalações e análise de conseqüências Perigo e atratividade Eventos mais graves ou mais prováveis Gravidade das conseqüências Proteções existentes Quantificação: gravidade - proteção

14 Passo 2: Caracterização das instalações e análise de conseqüências Perigo, atratividade, conseqüências Produto químico Ex: cloro Perigo associado Gás s tóxico t / corrosivo Ameaça a / conseqüências Explosão ou vazamento Mortes, danos ambientais Ativo crítico Ex: caldeiras Ex: agência bancária Perigo associado Atratividade associada Pressão, temperatura Alto valor monetário Ameaça a / conseqüências Explosão / mortos, feridos Assalto / mortos, feridos

15 Passo 2: Caracterização das instalações e análise de conseqüências Quantificação e grau de perigo Quantificação da gravidade das conseqüências a pessoas ao meio ambiente ao patrimônio ou à imagem / marca da empresa impactos sócio-econômicos Quantificação das proteções existentes Grau de perigo: gravidade proteção (1 a 5)

16 Passo 1 Planejamento Auditoria e Melhoria Contínua Passo 2 Caracterização das Instalações e Análise de Conseqüências Gestão de Risco e Gestão de Mudanças Passo 3 Avaliação de Ameaças Passo 7: Implementação das Recomendações Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 6: Relatório Final Passo 5: Identificação de Contramedidas

17 Passo 3: Avaliação de ameaças Ações terroristas Ações de criminosos: assalto, invasão, seqüestro Ameaças, colocação de bomba, atentados pelo correio Vandalismo Roubo ou desvio de produtos; contaminação ou falsificação Roubos diversos: cabos elétricos, laptops, valores, veículos Roubo de informação Ações de ativistas, protestos Violência entre funcionários ou com outras pessoas Fraudes, desvio de dinheiro, corrupção

18 Passo 3: Avaliação de ameaças Descrição, quantificação, priorização Descrição e quantificação das ameaças Identificação e descrição Histórico Capacidade operacional Motivação Quantificação Priorização

19 Passo 1 Planejamento Auditoria e Melhoria Contínua Passo 2 Caracterização das Instalações e Análise de Conseqüências Gestão de Risco e Gestão de Mudanças Passo 3 Avaliação de Ameaças Passo 7: Implementação das Recomendações Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 6: Relatório Final Passo 5: Identificação de Contramedidas

20 Passo 4: Avaliação de vulnerabilidades e construção de cenários Matriz: ativos críticos x ameaças Identificação e priorização de cenários críticos Descrição dos cenários

21 Passo 1 Planejamento Auditoria e Melhoria Contínua Passo 2 Caracterização das Instalações e Análise de Conseqüências Gestão de Risco e Gestão de Mudanças Passo 3 Avaliação de Ameaças Passo 7: Implementação das Recomendações Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 6: Relatório Final Passo 5: Identificação de Contramedidas

22 Passo 5: Identificação de contramedidas Contramedidas identificadas a partir de cada cenário descrito Guia inclui extensa relação de medidas de proteção que podem ser consideradas Quantificação da relação benefício / custo de cada contramedida e priorização Refazer os cálculos como se as contramedidas já tivessem sido implementadas, para avaliar impacto.

23 Passo 1 Planejamento Auditoria e Melhoria Contínua Passo 2 Caracterização das Instalações e Análise de Conseqüências Gestão de Risco e Gestão de Mudanças Passo 3 Avaliação de Ameaças Passo 7: Implementação das Recomendações Passo 4: Avaliação de Vulnerabilidades e Construção de Cenários Passo 6: Relatório Final Passo 5: Identificação de Contramedidas

24 Passo 6: Relatório Final Passo 7: Implementação de recomendações Preparação de relatório final Sumário executivo Relação de contramedidas e plano de implementação Negociação prévia com a liderança da empresa Implementação das recomendações Cronograma com prazos e responsabilidades

25 Gestão de Riscos e Gestão de Mudanças Integração com processos corporativos para: Gestão de riscos, Gerenciamento de crises, Comunicação interna e externa em situação de crise, Contingência e continuidade de negócios. Processos para identificação e gestão de mudanças que possam interferir nos sistemas de proteção.

26 Auditoria e Melhoria Contínua Processos para auditar periodicamente os sistemas implementados: Testes periódicos Treinamento Assegurar que sistemas funcionam conforme projeto Processos de melhoria contínua, com participação de todos os funcionários da empresa.

27